7
DNS-Auflösung zwischen interner und Internet-Domäne
Hallo,
ich betreibe eine kleine Small Business Domäne und habe eine Frage zur korrekten DNS-Einrichtung:
Die Domäne ist als mustermann.local eingerichtet und besitzt neben den Clients einen Windows-Server und eine Hardware-Firewall (Sophos UTM).
Die Aufgabenteilung ist wie folgt:
Der DNS kennt eigentlich nur die Forward-Lookupzone mustermann.local
Im Internet gibt es die Domäne mustermann.de, für die mehrere DNS-Einträge existieren:
2) für server.mustermann.de ist eine Forwarding in der FW eingerichtet, welches an den Domain-Controller weiterleitet
Eigentlich fuktioniert alles soweit gut. Bei der Prüfung des Eventviewers ist mir jetzt allerdings ein kleiner Fehler (DCOM 10009) aufgefallen.
Die Firewall meldet sich intern beim Server als utm.musermann.de und nicht als .local
Da der Server die Domäne mustermann.de nicht kennt, fragt er über die Firewall beim DNS-Server des ISP und erhält die im Internet bekannte IP-Adresse.
Für die eigentlich rein interne Kommunikation zwischen Firewall und Server nutzt dieser jetzt also eine externe IP-Adresse und Routing.
Problematisch ist diese Konfiguration auch bei den Smartphones: Von extern kommen diese problemlos über server.mustermann.de zum Server.
Im internen WLAN löst der DC den Namen aber wieder zur externen IP-Adresse auf: Die Smartphones verbinden sich also nicht intern direkt mit dem Server, sondern möchten erst über die Firewall ins Internet um dann wieder von extern über die Firewall zurück ins Firmennetz.
Theoretisch müsste sich doch die DNS-Auflösung für utm. und server.mustermann.de auf die internen IP-Adressen 192.168.x.x umleiten lassen?!
Nur wie stelle ich es am geschicktesten an, dass der DC/DNS-Server alle anderen ihm unbekannten DNS-Namen *.mustermann.de weiterhin aus dem Internet abgefragt?
Ich hoffe, dass war einigermaßen verständlich ...
Vielen Dank für Eure Hinweise.
ich betreibe eine kleine Small Business Domäne und habe eine Frage zur korrekten DNS-Einrichtung:
Die Domäne ist als mustermann.local eingerichtet und besitzt neben den Clients einen Windows-Server und eine Hardware-Firewall (Sophos UTM).
Die Aufgabenteilung ist wie folgt:
- Domain-Controller: DHCP, DNS, MAIL, ...
- Firewall: Standard-Gateway
Der DNS kennt eigentlich nur die Forward-Lookupzone mustermann.local
Im Internet gibt es die Domäne mustermann.de, für die mehrere DNS-Einträge existieren:
- www./mail./ftp.mustermann.de zeigen auf die Server des Hosters
- Daneben gibt es noch zwei weitere, die auf die externe IP-Adresse der Firewall verweisen:
2) für server.mustermann.de ist eine Forwarding in der FW eingerichtet, welches an den Domain-Controller weiterleitet
Eigentlich fuktioniert alles soweit gut. Bei der Prüfung des Eventviewers ist mir jetzt allerdings ein kleiner Fehler (DCOM 10009) aufgefallen.
Die Firewall meldet sich intern beim Server als utm.musermann.de und nicht als .local
Da der Server die Domäne mustermann.de nicht kennt, fragt er über die Firewall beim DNS-Server des ISP und erhält die im Internet bekannte IP-Adresse.
Für die eigentlich rein interne Kommunikation zwischen Firewall und Server nutzt dieser jetzt also eine externe IP-Adresse und Routing.
Problematisch ist diese Konfiguration auch bei den Smartphones: Von extern kommen diese problemlos über server.mustermann.de zum Server.
Im internen WLAN löst der DC den Namen aber wieder zur externen IP-Adresse auf: Die Smartphones verbinden sich also nicht intern direkt mit dem Server, sondern möchten erst über die Firewall ins Internet um dann wieder von extern über die Firewall zurück ins Firmennetz.
Theoretisch müsste sich doch die DNS-Auflösung für utm. und server.mustermann.de auf die internen IP-Adressen 192.168.x.x umleiten lassen?!
Nur wie stelle ich es am geschicktesten an, dass der DC/DNS-Server alle anderen ihm unbekannten DNS-Namen *.mustermann.de weiterhin aus dem Internet abgefragt?
Ich hoffe, dass war einigermaßen verständlich ...
Vielen Dank für Eure Hinweise.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 385676
Url: https://administrator.de/contentid/385676
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
such mal nach Split-DNS.
Intern und extern wird zum gleichen Hostnamen eine unterschiedliche IP-Adresse ausgeliefert.
mail.firma.de
extern: 83.84.85.86
intern: 192.168.10.2
Viele Grüße
Stefan
such mal nach Split-DNS.
Intern und extern wird zum gleichen Hostnamen eine unterschiedliche IP-Adresse ausgeliefert.
mail.firma.de
extern: 83.84.85.86
intern: 192.168.10.2
Viele Grüße
Stefan
Hallo milhouse,
Du kannst auch mit Loopback NAT auf der Firewall arbeiten:
Beispiel Webserver
Quelle original: interne Netzte
Ziel original: server.mustermann.de (externe IP)
NAT: server.mustermann.local (interne IP)
Quell-Port: any
Ziel-Port: http / https
Gruß
Du kannst auch mit Loopback NAT auf der Firewall arbeiten:
Beispiel Webserver
Quelle original: interne Netzte
Ziel original: server.mustermann.de (externe IP)
NAT: server.mustermann.local (interne IP)
Quell-Port: any
Ziel-Port: http / https
Gruß
Moin ...
Neben dem bereits genannten ... zwei Punkte die mir aufgefallen sind
Hier würde ich mir die Konfiguration genauer anschauen ... sollte so ja nicht sein.
Das hört sich erstmal so an als ob die Smartphones keine VPN-Verbindung nutzen!?
Wäre auch ein Punkt zum drüberschauen.
VG
Neben dem bereits genannten ... zwei Punkte die mir aufgefallen sind
Die Firewall meldet sich intern beim Server als utm.musermann.de und nicht als .local
Hier würde ich mir die Konfiguration genauer anschauen ... sollte so ja nicht sein.
Problematisch ist diese Konfiguration auch bei den Smartphones: Von extern kommen diese problemlos über server.mustermann.de zum Server.
Das hört sich erstmal so an als ob die Smartphones keine VPN-Verbindung nutzen!?
Wäre auch ein Punkt zum drüberschauen.
VG
Die Firewall meldet sich intern beim Server als utm.musermann.de und nicht als .local
.local ist als interne Root Domain auch vollkommen Tabu, da es von mDNS genutzt wird und fest von der IANA registriert ist. Da sind also Probleme vorprogrammiert !https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Wie man mit internen DNS Namen richtig umgeht steht hier:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
1
@sleaper
Gruß,
Dani
Du kannst auch mit Loopback NAT auf der Firewall arbeiten:
ich würde behaupten, dass das nicht funktioniert. Denn der SBS wird als DNS-Server die Anfrage beantworten und nicht an die Firewall/Router weiterleiten.Gruß,
Dani
...es sei denn er hat eine Weiterleitung definiert auf die IP der Firewall 
@aqui
Gruß,
Dani
...es sei denn er hat eine Weiterleitung definiert auf die IP der Firewall
meiner Meinung ist das nicht möglich. Bedingte Weiterleitungen im Microsoft DNS-Server nur auf Basis von einer Zone möglich, welche nicht durch den DNS-Server verwaltet werden.Gruß,
Dani
